Primero permítanme decir que el servidor de correo funciona bien y que los usuarios pueden conectarse y enviar correos electrónicos.
Básicamente, hay un script web local que se conecta al servidor de correo tratando de enviar correo cada pocos minutos. Tiene la contraseña incorrecta El problema es que no sabemos en qué script se está conectando, por lo que estamos buscando una forma de obtener el nombre de usuario que se está probando.
UGFzc3dvcmQ6: decodifica a contraseña: por lo tanto, no es de mucha ayuda. Una línea de registro completa está debajo.
Dec 11 20:15:37 HOST postfix/smtpd[642]: warning: HOST[x.x.x.x]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
El servidor ejecuta Debian / Postfix / Dovecot.
Respuestas:
Pudimos rastrear el nombre de usuario usando Dovecot.
En la
/etc/dovecot/conf.d/10-logging.conf
configuración, habilitamos el registro detallado de autenticación usandoEsto puso la información en
fuente
/var/log/dovecot-info.log
?Pude evitar esto configurando SSL y requiriendo intentos de autenticación sobre SSL solo con
Esto no presenta la
AUTH
opción al cliente remoto después,EHLO
por lo que los spammers / hackers se dan por vencidos porque establecer una conexión SSL es demasiado tiempo. Trabajan un juego de números. Ahora, en cambio, cuelga cuando lo intentanAUTH
y obtengo esto en mis registros:fuente
Si tiene fail2ban instalado, puede habilitar sasl (o a veces llamado postfix-sasl) en su jail.local (o jail.d) y eso debería hacer que las molestias desaparezcan.
fuente